Pubblicato il Parere 17 aprile 2012 n. 1886775 del Garante per la Protezione dei Dati Personali in materia di comunicazione dei dati contabili all’anagrafe tributaria da parte di banche e operatori finanziari.
Sul punto l’Agenzia delle entrate delle entrate ha sottoposto al Garante, per l’acquisizione del relativo parere, uno schema di provvedimento attuativo dell’articolo 11, commi 2 e 3, del decreto legge 6 dicembre 2011 n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011 n. 214, in materia la comunicazione integrativa annuale all’archivio dei rapporti finanziari; in particolare, lo schema ha ad oggetto le modalità e i termini della comunicazione integrativa dei dati relativi ai rapporti finanziari.
Secondo il Garante, la normativa di cui lo schema di provvedimento è attuativo pone rilevanti problematiche di carattere generale relative alla protezione dei dati personali sia con riferimento all’eccezionale concentrazione presso l’anagrafe tributaria di un’enorme quantità di informazioni personali, sia in relazione alle finalità di classificazione degli interessati cui la raccolta di tali informazioni risulta preordinata.
Per tale motivo, il Garante ritiene importante valutare con particolare rigore le misure di sicurezza, di natura tecnica e organizzativa, per la trasmissione dei dati e per la relativa conservazione individuate nello schema di provvedimento, e di cui al citato art. 11, comma 3, Decreto Legge n. 201 del 2011.
Il Garante, a fronte delle considerazione meglio sviluppate nel parere in allegato (a cui si rinvia), ha espresso all’Agenzia delle Entrate l’esigenza di
1) integrare lo schema di provvedimento con l’individuazione di adeguate misure di sicurezza, di natura tecnica e organizzativa, anche in relazione al trattamento posto in essere dagli operatori finanziari per la comunicazione annuale;
2) predisporre l’uso di canali di comunicazione diversi e alternativi al servizio Entratel, soprattutto per le comunicazioni da parte di soggetti detentori di una elevata quantità di dati come i gruppi bancari, privilegiando l’interconnessione application-to-application tra i rispettivi sistemi informativi, con le opportune misure di sicurezza;
3) introdurre ulteriori misure e accorgimenti nel caso che nel caso di utilizzo del servizio telematico Entratel, ovvero di altro canale telematico che l’Agenzia riterrà di predisporre per la trasmissione dei dati di cui al presente schema di provvedimento;
4) assicurare, a prescindere dalla modalità di trasmissione prescelta, che il procedimento di cifratura del file da trasmettere da parte dell’operatore finanziario possa avvenire già contestualmente alla estrazione dei dati dai sistemi, o, quantomeno, nella fase immediatamente successiva, preferibilmente con l’utilizzo di strumenti automatici che non prevedano l’intervento di un operatore;
5) sottoporre nuovamente al parere del Garante gli eventuali casi di trattamento dei dati oggetto della comunicazione integrativa annuale ulteriori rispetto a quanto previsto nello schema di provvedimento in esame;
6) esplicitare nello schema di provvedimento i periodi di conservazione necessari e che, in ogni caso, allo scadere di tale periodo deve essere disposta l’integrale e automatica cancellazione dei dati.